Il Garante europeo della privacy: “Cambierà la nozione di dato personale”

Intervista a Giovanni Buttarelli sulla cybersicurezza. Si parla di nuovo regolamento, evoluzione tecnologica, profilazione, consenso informato nelle sperimentazioni cliniche e della necessità di distinguere tra finalità della ricerca scientifica e interessi commerciali

Garante europeo della privacy

Si calcola che ogni giorno nel mondo si generino 2,5 exabyte di dati biometrici e biomedici, soltanto considerando il traffico connesso ai wearable device e ai commenti dei cittadini sui social network. Un’incommensurabile enormità – evocata di recente anche dal presidente di Farmindustria Massimo Scaccabarozzi – che sommata a tutte le altre infinite fonti di big, open e qualsivoglia data, sotto ogni punto di vista e nei limiti del possibile, merita di essere tenuta sotto controllo, nel timore di uso improprio o comunque disinvolto. Un compito titanico, che si declina in “raccolta, registrazione, conservazione, recupero, trasmissione, blocco o cancellazione” e che coincide con il ruolo del Garante europeo della privacy, ovvero l’Autorità garante europea della protezione dei dati (Gepd). Dal 2014 è retta dall’italiano Giovanni Buttarelli, magistrato, già segretario generale della nostra autorità garante nazionale tra il 1997 e il 2009. AboutPharma lo ha intervistato.

Allo stato attuale, quanto sono tutelati i dati dei pazienti nei vari Paesi europei, sia dalle strutture sanitarie pubbliche che da quelle private?

Sufficientemente, anche se non all’altezza delle sfide che pongono le categorie di informazioni, particolarmente delicate e che attengono alla parte più intima della sfera privata. L’esperienza più recente ci spinge a concentrarci su modalità più effettive e dinamiche. Nel senso che non ravvisiamo dopo vent’anni dalla direttiva del ’95, e alla luce del nuovo regolamento europeo, la necessità di ulteriori regole. Un’esigenza sentita è invece quella di uniformare maggiormente pratiche che a livello nazionale sono ancora diversificate. La Francia, ad esempio, ha una disciplina dettagliata su i diritti dei pazienti rispetto all’informatizzazione delle cartelle cliniche che non è così matura altrove.

In che misura questo dipende dall’evoluzione tecnologica?

L’evoluzione tecnologica fa ritenere valide le norme esistenti ma richiede una creatività e un impegno sul piano operativo. Tutta la “giurisprudenza” del gruppo dei garanti europei, il quale cesserà di esistere a maggio 2018, manterrà la sua validità anche quando l’European Data Protection Board diverrà operativo. Come Garante europeo dobbiamo adottare una specifica serie di provvedimenti che riguardano la sanità attraverso applicazioni, piattaforme avanzate e anche la nostra attività di supervisione sull’Ema.

Quali sono le situazioni che pongono maggiormente a rischio la sicurezza dei dati personali?

Mi sembra che si debba considerare non tanto e non solo la sicurezza dei dati personali, ma le situazioni che possono porre a rischio i diritti dei cittadini anche sotto il profilo della loro dignità. La digitalizzazione implica di per sé la maggiore circolazione per via informatica dei dati e ovviamente ciò tende a incrementare i rischi per la perdita anche solo accidentale di informazioni. Ma la soluzione non è certo arretrare sul piano dell’evoluzione tecnologica. Occorre una maggiore consapevolezza dal lato dei “data controller” e la politica deve capire meglio quali sono le prerogative e le relative opportunità per i cittadini.

E rispetto alle sperimentazioni cliniche e alla ricerca scientifica?

Occorre davvero distinguere la ricerca finalizzata al beneficio collettivo, anche se può prevedere un margine di utilità da parte di chi investe denaro, da altre attività che sono puramente ed esclusivamente legate a scopo di profitto.

Numerosi esperti propongono alle aziende farmaceutiche di “educare” i propri dipendenti sulla sicurezza dei dati sensibili. Tuttavia uno studio dell’agenzia Kroll, pubblicato ad aprile 2017, afferma che il personale interno, proprio in virtù di tale ‘educazione’, possa trasformarsi in un pericolo e trafugare informazioni. Cosa ne pensa?

Da sempre, specie da quando nel 1991 ho collaborato al varo della legge italiana sulla criminalità informatica poi approvata nel 1993, le statistiche confermano costantemente che i rischi maggiori nascono all’interno di un’organizzazione, per effetto di atti intenzionali o di pratiche inadatte. In questo scenario di sistematico trafugamento di informazioni, il valore economico dei dati è legato alle persone esposte. Tranne che in casi particolari, l’esperienza dimostra che finora i fenomeni riguardano più la perdita, la mancanza di trasparenza sull’uso di informazioni e l’uso ulteriore di dati non comunicati all’interessato.

Secondo l’Università Bicocca di Milano, nelle aziende sanitarie, la modalità d’attacco più diffusa è il furto; a seguire gli accessi non autorizzati, in netto aumento nell’ultimo periodo. Ha un ruolo rilevante anche la perdita di dispositivi portatili come laptop, tablet e chiavette Usb e l’uso improprio di privilegi da parte dei dipendenti per accedere a informazioni sensibili. Risulta anche al Garante europeo della privacy? Esiste una casistica affidabile e/o un database europeo?

Non conosco i risultati specifici dell’Università Bicocca, ma mi sembra che vadano esattamente nella direzione che indicavo. In Europa si pubblicano continuamente analisi che confermano il punto di vista delle autorità garanti nazionali. Troppo spesso rilevano comportamenti fai-da-te da parte di singoli utenti, non necessariamente contrari a regole interne, che tuttavia non sono al top della sicurezza. In altre situazioni, organizzazioni sia pur consolidate hanno policy ragionevoli, ma che però non sono oggetto di formazione, comunicazione e enforcement interno. In Gran Bretagna abbiamo avuto il caso di Cd-rom contenenti i dati di milioni di cittadini, pazienti o contribuenti, che sono stati spediti per posta e poi persi. Il meccanismo nazionale non ci ha consentito di capire se i dati siano finiti o meno in cattive mani. Se anche fossero andati distrutti o persi, ciò non toglie che certe pratiche siano sciagurate.

È vero che spesso i dati delle cartelle cliniche sono sottratti con intenti malevoli, ma l’obiettivo vero e proprio dei criminali, stando ai report internazionali, sono i dati sensibili personali, come numeri di carte di credito e di previdenza sociale, così da agevolare reati finanziari e frodi fiscali. Questo cambia qualcosa nelle strategie difensive?

La legislazione attuale considera come dati sensibili i dati medici o quelli suscettibili di rivelare anche il buono stato di salute di un cittadino, ma non richiede protezioni specifiche per quelli di natura finanziaria. Questo è il portato di una lunga esperienza in materia. È poi vero che nella vita reale la gente soffra di più magari per l’abuso di dati contenuti nella carta di credito… Ciò detto, abbiamo riscontrato episodi anche piuttosto preoccupanti di accesso e circolazione limitata a informazioni sulla salute, riguardanti persone specifiche, esposte per attività politica o finanziaria. L’abuso non prelude magari alla diffusione, ma a un utilizzo circoscritto di informazioni per finalità indebite. È il fenomeno del dossieraggio, che non è solo italiano: software creati da imprese private che hanno avuto contatti con autorità di intelligence, sono poi sfuggiti di mano e finiti on line con diffusione allargata.

Si parla di sistemi cloud-based per immagazzinare le informazioni. Un vantaggio, a detta di molti, non solo in termini quantitativi (per la migliore capacità di stoccaggio rispetto ad altre tipologie di server), ma anche qualitativi, da un punto di vista della sicurezza. Il Garante europeo della privacy è d’accordo su questo? Quanto è effettivamente più difficile penetrare le difese di un sistema cloud?

Uno dei nostri principi ispiratori è quello della neutralità tecnologica. Il cloud è una delle espressioni del mercato e offre certamente opportunità. Ma non è impenetrabile e pone problemi non indifferenti anche dal punto di vista dell’applicazione della legge nazionale, di attività di enforcement, di divisione di ruoli tra controller e processor, e soprattutto di attività massive di accesso per ragioni di intelligence da parte di autorità di altri Paesi. Noi abbiamo cercato di analizzare anche recentemente esperienze alternative al cloud, quantomeno per i singoli utenti.

Pensiamo ai ‘data vault’, a piccole casseforti: senza replicare le informazioni in più sedi, l’utente stesso può mantenere meglio il controllo delle informazioni che lo riguardano, senza bisogno di farle validare da un terzo, ispirate al principio ‘one box only’, con la facoltà per l’interessato di staccare o attaccare la spina, rendendo più facile l’accesso a terzi solo quando serve. Stiamo sperimentando queste soluzioni, sono convinto che le tecnologie ne evidenzieranno altre. Per il momento abbiamo creato tutte le condizioni giuridiche, tecniche e operative per far sì che il cloud possa funzionare. Guardo però con scetticismo all’idea di creare cloud regionalizzati in Europa con la convinzione che questo li renderebbe impermeabili all’intelligence straniera. Nessun sistema è sicuro al 100%. Magari l’uso di cloud ‘locali’ può essere ragionevole per alcuni enti pubblici che operano in servizi essenziali (magistratura, forze dell’ordine).

A maggio del prossimo anno entrerà in vigore il nuovo Regolamento europeo sulla protezione dei dati che uniformerà tutte le legislazioni in materia degli Stati membri. Quali le principali novità? Quali vuoti colma?

Più armonizzazione, più adattamento alla realtà tecnologica che oggi a distanza di vent’anni è completamente diversa. Il nuovo regolamento introduce maggiori garanzie per gli interessati e anche maggiori responsabilità per chi tratta i dati. La novità dell’accountability significa che potremmo esigere dai titolari del trattamento maggiore proattività nella definizione della loro policy interna, nella distribuzione di ruoli, nella valutazione dei rischi. Al tempo stesso, le autorità regolatorie dovranno essere ragionevolmente più selettive e anche accettare di più ciò che è sostenibile giuridicamente, ma non condivisibile al 100%. Questo regolamento non è perfetto, ma è frutto di anni di lavoro, e se anche si iniziasse oggi, considerata la sua dimensione orizzontale e il fatto che abbraccia qualunque attività pubblica e privata, non riusciremmo ad avere uno strumento migliore.

È impensabile che una modifica sostanziale del regolamento diventi effettiva prima di venti anni. Venti anni sono però più di un secolo dal punto di vista tecnologico; quindi, dobbiamo esercitare la nostra fantasia per far sì che queste regole siano orientate al futuro e che i princìpi, che nessuno contesta siano effettivi in concreto. Quindi, puntiamo ad una valorizzazione di alcune modalità tecnologiche che permettano di esercitare meglio i diritti e adempiere meglio i doveri, con meno formalità e più garanzie. L’ultima novità è la straordinaria severità delle sanzioni amministrative che vanno però applicate in termini di extrema ratio, qualora cioè si ravvisi una particolare determinazione all’illecito e la mancanza di qualunque volontà di adempiere.

Il Regolamento prevede che per finalità di archiviazione nell’interesse pubblico, statistica e di ricerca storica non è necessario il consenso dell’interessato per il trattamento dei dati personali. C’è il rischio di abuso delle informazioni stesse?

Non è una novità, la deroga al consenso esisteva già. L’Italia è stata all’avanguardia negli anni Duemila con una serie di codici di deontologia e di buona condotta, in materia di ricerca storica, scientifica, statistica. Quella è la linea. Certo, esistono molte aree di ambiguità. Alcune ricerche epidemiologiche hanno evidenziato che il problema è legato piuttosto alle norme sull’accesso ai documenti amministrativi che alla privacy. Anche le autorità della privacy devono fare di più. In presenza di vere attività di ricerca storica e statistica, le garanzie modernamente configurate devono avere un binario differenziato.

Il Regolamento Ue 536/14 sulle sperimentazioni cliniche renderà pubblici i dati dei trial con alcune limitazioni, soprattutto legate alla tutela delle informazioni commerciali. Dov’è il confine?


La diffusione dei dati idonei a rivelare lo stato di salute positivo o negativo di una persona è, e resta, vietata. È prevista invece la diffusione dei dati aggregati, con limitazioni. A prescindere dal tema delle informazioni commerciali, il problema che pure abbiamo analizzato congiuntamente all’Ema più volte, risiede nella granularità delle informazioni. Alcune di queste sono apparentemente collettive e anonime, ma in realtà sono tali da rendere identificabili gli interessati. Del resto, la nozione stessa di dati personali, mi spiace dirlo, sparirà entro qualche anno…

Che succederà?

Saremo tutti più facilmente identificabili e i dati anonimi saranno una categoria soggetta a continua erosione. Sarà più facile raggiungere l’obiettivo del Regolamento specifico sulle sperimentazioni cliniche che persegue una giusta finalità di trasparenza per favorire la ricerca scientifica, la competitività e la fiducia anche per finalità collettive, guardando a ciò che l’evoluzione tecnologica permette.

In tale ambito è già possibile acquisire il Consenso informato in forma elettronica?

Sì, lo è già, e il Regolamento rafforza l’idea con una serie di esempi, definendo quando è ragionevole parlare di consenso e quando no. L’idea del nuovo Regolamento è confermare l’esistenza del consenso come uno dei presupposti per trattare dati personali. Ma è meno importante rispetto al passato perché deve essere richiesto in un numero minore di casi anche se con criteri più rigorosi di prima. Quando lo si richiede, il consenso deve essere più autentico, veramente libero, veramente specifico, veramente informato, non ambiguo. Non va in tal senso cliccare su un banner quando magari non è chiaro il senso dell’operazione che si sta compiendo. Ciò non toglie che se un utente può capire effettivamente la portata della sua azione, magari con un flash d’informativa o una pagina dettagliata di informazioni, la logica del clic può anche funzionare.

A quali condizioni sarà possibile la profilazione dei pazienti? Chi e quando dovrà dettarle?

C’è una novità. Siamo tutti crescentemente profilati. Già nella definizione nuova di dato personale si fa riferimento al concetto di “singling out” ovvero di estrapolare una persona da una massa di informazioni. Avendo la certezza che una pluralità di informazioni riguardi sempre quella persona, a quel punto non interessa assolutamente sapere il suo nome e cognome ma semplice- mente capire che comportamenti tiene (es. frequentare prevalentemente ristoranti vegetariani, vivere in città etc.), per costruire un’idea di paziente. Il futuro del business intorno ai dati personali non è più nell’offerta di beni e servizi, ma nel possesso stesso delle informazioni, il concetto è più potere e meno privacy.

Chi ha i dati ha potere. Anche averne di grezzi permetterà di prevedere i comportamenti delle persone e questo si farà sulla base della profilazione. A questo punto, quando accederemo on line, pur cercando la stessa pagina web, avremo risultati diversi che si fondano sulla pluralità delle analisi che ci riguardano e che puntano alla previsione dei nostri comportamenti, ad anticiparli, ad offrirci qualcosa che un algoritmo ritiene che sia di nostro interesse. Senza che qualcuno ci debba spedire una pubblicità a casa o un’email non desiderata.

Uno scenario non privo di rischi…

Certo. Sono preoccupato perché il diritto di accesso ai dati che oggi identificano la logica della profilazione, un domani potrebbe perdere significato. Un algoritmo potrebbe rispondere: “Sì, ho dati su di te, ma sono impliciti. Sei ben presente, ma non so perché”. Detto ciò, dobbiamo accettare la profilazione come una legittima modalità di trattamento dei dati personali. Che non va demonizzata ma al tempo stesso servono garanzie di compensazione.

L’entrata in vigore del Regolamento è prevista a maggio 2018. Ci sono già adempimenti da perseguire oggi? Quali?

È già giuridicamente in vigore ma nessuna autorità pubblica può pretenderne l’applicazione fino a quel momento. Ciò non toglie che il processo di implementazione vada iniziato ora poiché richiede un’attività di pianificazione se non altro per la valutazione dei rischi. Analisi e indagini ci confermano che esiste una grande consapevolezza. Tante imprese si informano, ma non hanno ancora dato inizio alla detta implementazione.

Milano ospiterà forse la sede italiana di Watson Health di Ibm. Tra le critiche mosse a Regione Lombardia e Comune c’è quella della “svendita” dei dati personali dei pazienti lombardi a un’azienda privata. Ne è a conoscenza? Il garante della privacy italiano non ha ancora espresso un parere definitivo sulla vicenda… 

Ho seguito sui media la vicenda, la quale ha dell’incredibile e caratteri di somiglianza con vicende simili avvenuti in Islanda in tema di dati genetici. So che il Garante italiano ha richiesto informazioni e che un procedimento si è attivato. Credo sia corretto lasciare all’autorità nazionale il diritto-dovere di appurare come stanno le cose. Molti aspetti sono controversi. Vedremo presto gli sviluppi.

Ci sono altri casi analoghi in Europa?

Come accennato, c’è stato un progetto in Islanda che determinava indubbi benefici per i singoli cittadini, che eseguivano gratis check-up clinici e potevano far richiesta di informazioni sul proprio patrimonio genetico. Tutto ciò però portava a formare una banca dati del Dna di tutta la popolazione islandese. Con un meccanismo che lasciava poco spazio all’opt-out (rinuncia, ndr) e che ci ha spinto a richiedere correttivi sostanziali per rispettare i diritti delle persone. In più, la destinazione dei dati era extra Ue, con nessuna garanzia di un corretto uso. L’idea che si formi un’anagrafe dei dati sanitari di interi territori è qualcosa che preoccupa.

Da un punto di vista dell’immagazzinamento dei dati e della loro sicurezza, cosa comporterà lo spostamento di Ema da Londra, in un qualunque altro Paese dell’Ue. Chi gestisce ora i dati dell’Agenzia europea dei medicinali?

La materia è trattata sulla base di un regolamento del 2001, il quale è in fase di aggiornamento ed è sotto la nostra stretta e diretta supervisione. Quando l’Agenzia verrà dislocata in un altro stato europeo dovremo verificare che la transizione avvenga secondo le regole e non ho dubbi che questo accada. Verrà assicurata continuità e vigileremo particolarmente che tutte le specifiche imposte su ogni minimo trattamento di dati continui a essere rispettato. La nostra esperienza con Ema è positiva. Sono stato due volte a verificare lo stato dell’arte e non abbiamo ragione di ritenere che esistano rischi specifici diversi da altri contesti.

È a conoscenza della recente sentenza n. 1569/2017 del Tribunale di Cagliari che accogliendo il ricorso di Tiziana Life Sciences, ha annullato un provvedimento del Garante italiano che aveva imposto la misura temporanea del blocco del trattamento dei dati personali contenuti in una cosiddetta bio-banca, per presunte violazioni delle disposizioni del Codice della Privacy? (provvedimento n. 389 del 6 ottobre 2016). Che scenari può aprire questo provvedimento?

Non conosco il provvedimento e mi dedicherò alla lettura della pronuncia. In ogni caso, mi pare che un simile giudizio possa essere cambiato, in caso l’Autorità decida di impugnarlo. È accaduto già in passato. Dalla mia esperienza, solo in un numero limitatissimo di casi i provvedimenti del Garante sono stati oggetto di modifica o annullamento a seguito di azioni della magistratura amministrativa o ordinaria. Questo conferma che le decisioni delle autorità sono in linea di principio robustamente configurate e motivate.

Scarica il pdf dell’articolo